正規のフォーム作成サービスを悪用するフィッシング手口を解説

インターネットは、これまでも重要なインフラでした。現在、新型コロナウイルスの蔓延によってさらに多くの企業がテレワークに依存することにより、一層不可欠なインフラとなっています。一方、サイバー犯罪者もインターネットを利用して人々を攻撃します。その最も一般的な手段の1つがフィッシング詐欺です。フィッシング詐欺は、クレジットカード番号、社会保障番号(マイナンバー)、アカウントの認証情報などの個人情報を詐取できるように構築されたWebサイトで実行されます。これまでフィッシングサイトの構築には、サイバー犯罪者が用意した偽装ドメインを持つWebサイトが使用されてきました。また、正規のWebサイト作成サービスを悪用し、作成されているケースもありました。しかし最近では、より簡易な作成方法として、正規の「フォーム作成サービス」を悪用する手口が顕著になっています。

図:フォーム作成サービスを悪用して作成されたフィッシングサイトの例

■正規フォーム作成サービス悪用の実例

フォーム作成サービスは、わずか数分で入力フォームなどのページを作成することができる便利なツールです。当然のことながら、それら自体は悪意のあるものではなく、正規のサイトです。しかし、一般の利用者にとって便利なサービスは、ほとんどの場合、サイバー犯罪者にとっても便利なサービスであり、時に悪用される場合があります。これらのサービスを利用することにより、サイバー犯罪者は、プログラミングの知識がなくても数分以内でフィッシングサイト用の入力画面フォームを作成することができます。

ほとんどのフィッシング詐欺の手口では、フィッシングサイトへの誘導手段として電子メール(フィッシングメール)が利用されますが、以下はMicrosoft Outlookからの勧告を偽装したフィッシングメールの例です。この例では、パスワードの利用期限更新のため、本文中のURLリンクをクリックするようにユーザを促しています。またアカウント情報の更新や、一杯になったメールボックス容量を更新するため、など様々な理由でリンクをクリックさせようとしています。

図: Microsoft Outlookからの勧告を装うフィッシングメール

このようなOutlookからの勧告を偽装したフィッシングメールでの利用が確認されているフォーム作成サービスとしては、Microsoft Forms(forms.office.com)があります。これはMicrosoft FormsがOutlookと同じくMicrosoft Officeのサービスであることから、ユーザが信用しやすいと考えられるためです。

図:フィッシングサイトへ誘導するリンクの例
Microsoft Formsを使用しているため、誘導先URLのドメインは
“forms.office.com”と正規サイトのものとなっている

法人代表者を装うメールの中で、埋め込みリンクを、録音メッセージファイルまたは文書ファイルとして偽装するサイバー犯罪者も確認されています。トレンドマイクロではそのような手口に、Survey Gizmoがよく利用されていることを確認しました。

図: 偽の録音メッセージと文書が添付されたフィッシングメールの例

ユーザがメール中のボタン、あるいは偽の録音メッセージや文書を選択してクリックすると、フォームに埋め込まれたフィッシングサイトにリダイレクトされます。

図:フィッシングメール内に隠されたフィッシングサイトへのURLリンクの例
誘導先は正規サービス“Survey Gizmo”のドメインであり、それだけで不審なものとは判断できない

上述の例では正規のフォーム作成サービスのドメインへ誘導されるため、それだけでは不審なサイトであると判断することは難しいものと言えます。しかし、誘導先のサイトはログインページや確認ページを偽装したフォームのページになっており、メールアドレスやパスワードなどの個人情報の入力が促され、詐取されます。

図:フォーム作成サービスを悪用して作成されたフィッシングサイトの例

フォーム作成サービスで作成された偽のログインページは、ブロック状のテンプレートを利用しているため、本物のログインページそっくりではありません。しかし、URLのドメインはフォーム作成サービスのけして不正なものではないため、誘導されたユーザは誤って信用してしまう可能性があります。

図:正規のAdobeサインインのページ(上)と、
フォーム作成サービスで作成された偽のAdobeサインインのページ(下)

図:正規のAT&Tのサインインのページ(上)と
フォーム作成サービスで作成された偽のAT&Tサインインのページ

図:正規のMicrosoft Outlookのサインインのページ(上)と、
フォーム作成サービスで作成された偽のMicrosoft Outlookサインインのページ

■サイバー犯罪者はなぜフォーム作成サービスを使うのか

フォーム作成サービスの悪用は遅くとも2017年前後には見られていましたが、最近また目立ってきています。フィッシングページの作成者がこれまで使用してきた、偽造ドメイン、Webサイト作成サービス、そして今回説明してきたフォーム作成サービスの3つの手法を比較し、フォーム作成サービスがサイバー犯罪者にとって魅力的である理由と、作成されたフィッシングサイトの見分け方について説明します。結果から言えば、フォーム作成サービスを悪用することにより、フィッシングサイト構築の手間が大幅に省けることがサイバー犯罪者にとっての大きな利点と言えます。

  偽造ドメイン Webサイト作成サービス フォーム作成サービス
定義 元サイトと混同しやすい新しいドメインを取得し、人気サイトの外観をコピーした偽サイトを作成する 正規のWebサイト作成サービスを利用して人気サイトの外観をコピーした偽サイトを作成する。多くの場合、ドメイン名はサービスのものとなるが、サブドメインを元サイトと混同しやすいものにする手口が多い 外観を似せるには制限が多いが、最も容易に偽サイトが作成できる。ドメイン名はサービスのものとなる
URL 例えばTRENDMICROを偽装する場合には「trendomicro」、「trendmicr0」 など文字を追加したり置き換えたりして本物と誤解しやすい文字列のドメインを取得して使用する 例えばTRENDMICROを偽装する場合には、サブドメインに本物と誤解しやすい文字列を入れて「trendmicro.<サービスのドメイン名>」のようなURLを使用する フォーム作成サービスで提供されるURLをそのまま使用するため、偽装は困難だが、URL自体は正規のものであり方法によっては利用者の誤解を誘うことも可能
作成の難易度 Webサイトの作成には、プログラミングとWebホスティングの知識が必要
アンダーグラウンドで流通する構築ツールを使用する場合も
十分説得力のあるフィッシングサイトを作成するためには、HTMLプログラミングの知識と設計スキルが必要。アンダーグラウンドで流通する構築ツールを使用する場合も 必要なのはフォームを作成するための基本的な知識のみ
リソース ドメイン取得のため、事前の準備が必要。費用が掛かる場合もある。Webサイトのセットアップにも多くの時間がかかる場合があり、この手口のためには比較的に多くのリソースが必要となる 元サイトにそっくりなWebページを作成するには、相応の時間が必要。サービスには有料もあれば、無料もあるが、Webサイトのセットアップには時間がかからないので、現在は多くのフィッシングページ作成者が、偽造ドメインを1から作成するのではなく、この手口を選択する わずかな時間で作成可能。一人でも数分で簡単にフィッシングページを作成することができる。サービスによるが、通常は無料
見分け方 URLを精査し、正規のWebサイトかどうかをチェック 元のドメインではなくWebサイト作成サービスのドメインが使用されていないかアドレスバーをチェック 通常、パスワードの更新やメールアドレスの確認のためにフォームを利用する企業はないことを覚えておく
■結論

トレンドマイクロは、2020年上半期セキュリティラウンドアップで、2020年上半期において700万近くのフィッシングサイトのURL(一意)が検出されたことを報告しました。これは、2019年下半期に500万ほどであったURLの検出が28%増加したことになり、フィッシング詐欺はサイバー犯罪者の間で依然としてよく利用される攻撃であることを示しています。他の脅威と同様に、フィッシング詐欺の背後にいるサイバー犯罪者は、目的のために、攻撃の効果をある程度維持することができれば、時間と費用の両方を節約できる方法を選択します。偽装ドメインを作成してフィッシングサイトを一から構築してきたサイバー犯罪者は、次にWebサイト作成サービスを利用してページを作成するようになり、現在ではフォーム作成サービスがよく利用されるようになっています。

フォームは数分で作成することができ、通常1円もかかりません。また、基本的なデザインの範囲では、プロ仕様のフォームが作成できます。フォーム作成サービスのWebサイトのドメインは正規のものです。また、Microsoftアカウントの認証情報収集のためにMicrosoft Formsで作成したページが利用された例に見られるように、フィッシングで要求される情報とドメインに繋がりを持たせることも可能で、ユーザに信頼されやすい傾向があります。そのような理由で、大した労力を必要とせずに仕事をこなせるフォーム作成サービスが、サイバー犯罪者に利用されると考えられます。

サイバー犯罪者が利用する手口が巧妙化する中で、ユーザは認証情報を要求するページ(Webサイトまたはフォーム)を十分精査することによって身を守ることができます。また、セキュリティソリューションを利用してフィッシングの脅威を検出しブロックすることができます。

■被害に遭わないためには

今回の例のようにクラウドメールサービスの認証情報を詐取された場合、メールの盗み見から情報流出、更なる攻撃メール送信の踏み台などの被害に繋がります。特に法人組織の従業員は、以下の手順に従うことによって、フォーム作成サービスを利用したフィッシングから身を守ることができます。

今回の例のようにクラウドメールサービスの認証情報を詐取された場合、メールの盗み見から情報流出、更なる攻撃メール送信の踏み台などの被害に繋がります。特に法人組織の従業員は、以下の手順に従うことによって、フォーム作成サービスを利用したフィッシングから身を守ることができます。

  • 正当性が確認できない限り、パスワードなどの個人情報を絶対に入力しない 入力フォームサービスは、アンケートや質問の回答、意見やフィードバックの収集などの目的で使用されます。クラウドサービスのサインインやログインのページとして使用されることはありません。以下は、フィッシングサイトの情報入力画面作成での悪用が確認できた正規フォーム作成サービスのドメイン例です。これらはすべて正規のものですが、ログイン情報の入力画面として使用されている場合にはその入力ページの正当性を疑うべきです
    • 123formbuilder.com
    • docs.google.com
    • form.simplesurvey.com
    • formpl.us
    • forms.gle
    • forms.office.com
    • formtools.com
    • smartsurvey.co.uk
    • supersimplesurvey.com
    • survey.survicate.com
    • surveygizmo.com
    • survs.com
    • zfrmz.com
  • フィッシングフォームを見たらすぐサービスの運営者に報告する 認証情報その他の個人情報の入力を促すフィッシングフォームを確認した場合は、フォーム作成サービスに報告してください。フォームについて報告するためのリンクは通常、ページの下部にあります

図:各サービスにおける、不正使用の報告についての記載部分
(上)SurveyGizmo (下)Microsoft Forms

  • メールの送信者が正しいかどうかを十分確認する 送信者が不明であるかまたは疑わしい場合は、リンクをクリックしないようにします
  • 不審なメールやサイトが確認された場合は、会社のInfoSecまたはITセキュリティチームに報告する
  • すべてのアプリケーションのセキュリティ設定が最新であることを確認する

インターネットは生活を便利にして向上させる機会に満ちた、広大でオープンな世界です。しかし、同時にインターネットは攻撃に利用される場合があることを認識しておくことが重要です。セキュリティ対策の存在は前提ですが、万能ではありません。個人情報を保護するための心がけも必要です。

トレンドマイクロの対策

今回解説したようなクラウドメールの認証情報を詐取するために正規サービスを利用するフィッシング手口では、誘導先サイトの不正性を自動的に判断することは困難です。そのため、前段であるフィッシングメールの時点でフィルタリングを行うことが期待されます。メール対策について、トレンドマイクロでは「メール・コラボレーションセキュリティ」 ソリューションを提供しています。AI技術をはじめとする先進技術と高い実績のスレットインテリジェンスを融合した防御アプローチ、XGenセキュリティにより、フィッシングメールや不正プログラムの検出を向上させています。特にOffice 365、G Suiteなどのクラウドサービスのセキュリティ強化には以下の製品があります。

  • Trend Micro Cloud App Security™ – 先進技術と実績ある技術を融合し、メールの脅威を防御します。特に、送信者の真正性やレピュテーションの検証、メール内容の分析、不正なURLからの保護など、様々なアプローチでフィッシングメールから防護します。

参考記事:

翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)